Segnalazioni whistleblowing: come certificare le prove senza esporre il segnalante
La direttiva (UE) 2019/1937 e il D.Lgs. 24/2023 hanno ridisegnato l'ecosistema delle segnalazioni interne. Ogni azienda con almeno 50 dipendenti, e tutta la pubblica amministrazione, deve oggi mettere a disposizione canali sicuri per ricevere e gestire segnalazioni di violazioni: in forma scritta su piattaforma dedicata, oppure orale tramite linea telefonica o incontro diretto. Le organizzazioni si trovano così davanti a un equilibrio sottile: garantire la riservatezza del segnalante richiesta dalla normativa e, allo stesso tempo, conservare le segnalazioni in modo che possano essere usate come prova nelle indagini interne, nei procedimenti disciplinari o nei contenziosi successivi.
Il punto critico non è solo tecnologico. Una segnalazione raccolta senza una metodologia forense rischia di essere contestata sotto due profili: l'integrità del contenuto (e' stata modificata? quando? da chi?) e la genuinita' del processo (e' stata davvero acquisita nelle modalità previste dal quadro normativo?). La risposta ragionevole è la certificazione forense alla fonte: acquisire la segnalazione con marca temporale qualificata, sigillo elettronico di un QTSP integrato e catena di custodia tracciata, separando con cura il dato sull'evento dall'identità di chi segnala.
Questo approfondimento fa parte della guida: Controversie di lavoro e meeting certificates: licenziamenti, contestazioni, whistleblowing
Cosa chiede la direttiva UE 2019/1937 e il D.Lgs. 24/2023 ai canali di segnalazione
La direttiva impone a tutti gli Stati membri requisiti minimi sui canali interni e li affianca a un canale esterno presso l'autorità competente, in Italia ANAC. La norma chiede tre cose insieme: riservatezza dell'identità del segnalante (e di eventuali terzi citati), tracciamento delle segnalazioni come potenziali prove, e termini di riscontro definiti (avviso entro 7 giorni, esito entro 3 mesi). Le linee guida ANAC adottate con delibera 478/2025 chiariscono inoltre che la conservazione dei dati deve avvenire con misure di sicurezza tecniche, tra cui crittografia a riposo e accesso limitato al solo gestore del canale.
Il D.Lgs. 24/2023 ha recepito la direttiva e ha esteso la tutela ai dipendenti del settore privato, a collaboratori, consulenti, lavoratori autonomi, candidati e volontari. La conservazione delle segnalazioni può arrivare fino a cinque anni dalla comunicazione dell'esito finale, se necessario per esigenze istruttorie. Per chi gestisce un canale interno, questo significa che la segnalazione deve sopravvivere intatta a tre rotazioni di gestori, due cicli di backup, eventuali audit interni e, in molti casi, a un procedimento giudiziario.
Tre rischi tipici di un canale non certificato
- Manipolazione successiva: una segnalazione testuale salvata in un database aziendale può essere modificata o riformulata prima di essere consegnata alle autorità o alla difesa.
- Disconoscimento in giudizio: senza marca temporale qualificata, la data di una segnalazione è opponibile al solo livello di metadati di sistema, contestabile dalla controparte.
- Perdita per disastro o turnover: backup non immutabili e responsabili che cambiano nel tempo possono dissolvere la prova proprio quando serve.
Anonimato e valore probatorio: come tenerli insieme nella segnalazione digitale
Il vero nodo tecnico delle segnalazioni whistleblowing certificate sta nell'architettura: separare il contenuto della segnalazione dal profilo del segnalante, certificando solo il primo. Le piattaforme conformi al D.Lgs. 24/2023 generano un codice univoco consegnato al segnalante, con cui questi può tornare ad aggiungere dettagli, rispondere a richieste del gestore e leggere l'esito senza mai esporre la propria identità.
La certificazione forense entra in gioco a livello del contenuto: la registrazione vocale, la trascrizione, l'allegato fotografico o il documento caricato sono acquisiti con metodologia forense, sigillati con marca temporale qualificata e firma elettronica del sistema, e archiviati in modo immutabile. L'articolo 18 della direttiva 2019/1937 impone che le organizzazioni mantengano un registro delle segnalazioni in conformità al GDPR e alla riservatezza, e in molti procedimenti questo registro deve poter essere prodotto come prova senza ricostruzioni postume.
Un esempio aiuta a capire il flusso. Un dipendente segnala in modalità orale, attraverso una sessione registrata sul canale interno, pratiche scorrette nella gestione di un appalto. La piattaforma cattura la voce, calcola l'hash del file, applica una marca temporale qualificata e un sigillo eIDAS via QTSP integrato. Il segnalante riceve un codice che gli consente di seguire il caso. Sei mesi dopo, l'azienda apre un procedimento interno. La registrazione viene riprodotta in dibattimento: data certa, integrità verificabile, contenuto inalterato. L'identità resta protetta nel vault separato della piattaforma, accessibile solo al gestore del canale e su mandato dell'autorità giudiziaria.
Tabella: cosa va certificato e come
| Elemento della segnalazione | Tutela richiesta | Come si certifica |
|---|---|---|
| Contenuto testuale | Integrità e data certa | Hash + marca temporale qualificata |
| Registrazione audio o video | Genuinita' della fonte | Acquisizione con metodologia forense + sigillo QTSP |
| Allegati (foto, PDF, email) | Catena di custodia | Hash di ogni file + log di accesso immutabile |
| Identita' del segnalante | Riservatezza | Pseudonimizzazione + accesso limitato |
| Comunicazioni col gestore | Prova del riscontro nei termini | Marca temporale qualificata su ogni messaggio |
Dove sbagliano spesso i canali "fai da te"
Molti enti scelgono soluzioni interne basate su email crittografate o portali sviluppati ad hoc. Funzionano per la riservatezza, raramente per la prova: mancano marca temporale qualificata, sigillo eIDAS e log immutabili che impediscano modifiche al gestore stesso. Quando arriva il contenzioso, la difesa può contestare la genuinita' di un file salvato su una shared folder e sostenere che il contenuto della segnalazione potrebbe essere stato modificato dopo l'acquisizione, come ricordano le prove digitali nei contenziosi giuslavoristici.
TrueScreen per le segnalazioni whistleblowing certificate
La TrueScreen applica la sua metodologia forense ai canali whistleblowing per chiudere il divario tra riservatezza e valore probatorio. Le segnalazioni e i relativi allegati sono acquisiti con tecniche di informatica forense, sigillati attraverso un QTSP qualificato integrato via API, e archiviati in modo immutabile su un'infrastruttura che non consente alterazioni nemmeno al gestore del canale.
Sul piano operativo, le organizzazioni possono integrare TrueScreen in tre modalità che convivono con le piattaforme whistleblowing esistenti: l'app mobile per segnalazioni in mobilità con foto, video e geolocalizzazione certificate; le API per agganciare la certificazione forense a piattaforme di conformità già adottate; il portale web per audizioni in videoconferenza con segnalanti e gestori del canale, le cui registrazioni sono acquisite e sigillate alla fonte. La Provenienza digitale resta in ogni fase l'elemento che rende verificabile l'origine e la storia di ciascun documento.
Casi d'uso tipici nelle aziende italiane: una multinazionale nel settore energy ha integrato TrueScreen con la piattaforma whistleblowing del gruppo per audizioni a distanza certificate; uno studio legale che gestisce il canale per conto di clienti privati usa le API per applicare sigillo e marca temporale ai verbali di segnalazione orale; una pubblica amministrazione ha esteso la certificazione anche alle email di follow-up tra Responsabile Prevenzione Corruzione e segnalante, mantenendo la riservatezza con un sistema di pseudonimi.
